Lateral movement (boční pohyb) je termín, který označuje techniku, kterou útočníci používají k šíření vnitřními sítěmi po získání počátečního přístupu do cílového systému. Po úspěšném prolomení počátečního systému nebo zařízení útočníci obvykle pokračují v pohybu do dalších částí sítě, čímž zvyšují rozsah a účinnost svého útoku. Lateral movement je často krokem před eskalací práv nebo exfiltrací citlivých dat. Tato technika je klíčovou součástí pokročilých trvalých hrozeb (APT) a může mít devastující dopad na organizace.
V tomto článku se podíváme na to, co je lateral movement, jak funguje, jak útočníci tuto techniku provádějí a jak se proti ní bránit.
Co je Lateral Movement?
Lateral movement označuje postup, při kterém útočníci pohybují mezi systémy a zařízeními v rámci cílové sítě, aby získali další přístup nebo přístup k cenným datům. Tento pohyb je obvykle tichý a obtížně detekovatelný, protože útočníci využívají již existující připojení, důvěryhodné účty nebo zranitelnosti v síti. Cílem lateral movementu je nakonec dosáhnout citlivějších částí sítě, eskalovat oprávnění, získat přístup k citlivým informacím nebo provést útoky s cílem zneužít zasažený systém.
Lateral movement je pro útočníky cenným nástrojem, protože jim umožňuje eskalovat jejich útoky z jednoho zasaženého zařízení na další, čímž zvyšují pravděpodobnost, že budou schopni úspěšně splnit svůj cíl.
Jak útočníci provádějí Lateral Movement?
Získání počátečního přístupu
Lateral movement začíná získáním počátečního přístupu do jedné části sítě. To může být způsobeno phishingovým útokem, využitím zranitelnosti v aplikacích, heslovými útoky, nebo zneužitím slabých bezpečnostních opatření. Jakmile útočník pronikne do jednoho zařízení, může začít zkoumat síťové propojení a hledat další zranitelnosti, které by mu umožnily pohybovat se dál.Hledání cíle a identifikace dalších systémů
Po získání přístupu do jednoho systému útočník začne skenovat síť, aby zjistil, jaké další systémy jsou připojené. To zahrnuje mapování síťové infrastruktury a zjišťování, jaké služby a aplikace běží na dalších strojích. Nástroje, jako je například PowerShell nebo Metasploit, mohou být použity k detekci dalších zařízení, která mohou být zranitelná nebo obsahovat užitečné informace.Použití legitimních nástrojů a technik pro pohyb
Útočníci často používají legitimní administrativní nástroje pro lateral movement. To zahrnuje například protokoly RDP (Remote Desktop Protocol), SMB (Server Message Block) nebo Windows Management Instrumentation (WMI). Použití legitimních nástrojů je důležité, protože to může pomoci útočníkům zůstat nepozorováni při pohybu v rámci sítě. Útočník může také použít kompromitované administrátorské účty nebo techniky jako Pass-the-Hash nebo Kerberos ticket pivoting pro přístup k dalším systémům.Získávání vyšších oprávnění
Jakmile útočník zjistí, které systémy jsou přístupné, může začít usilovat o eskalaci práv, aby získal administrativní přístup. To může zahrnovat útoky jako „Pass-the-Ticket“, které využívají známé zranitelnosti v autentizačních protokolech, nebo zneužívání špatně nastavených oprávnění k získání vyššího přístupu.Exfiltrace dat nebo příprava útoků
Jakmile útočník získá dostatečná oprávnění, může začít exfiltrace citlivých dat z cílové sítě, nebo připravovat další fáze útoku, jako je deployování ransomwaru, sabotáže nebo krádež duševního vlastnictví.
Příklady skutečných útoků s Lateral Movement
Útok na Target (2013)
Jeden z nejznámějších příkladů lateral movementu v praxi je útok na Target v roce 2013. Útočníci pronikli do společnosti Target prostřednictvím zranitelného dodavatele, který měl přístup k vnitřní síti společnosti. Jakmile získali přístup k interním systémům, útočníci použili lateral movement k šíření v síti a získali přístup k citlivým informacím, včetně platebních údajů milionů zákazníků. Tento útok ukázal, jak útočníci mohou využít jakoukoli zranitelnost v síti k šíření vnitřními systémy.Útok na Sony Pictures (2014)
V roce 2014 byli hackeři zodpovědní za útok na Sony Pictures. Po počátečním kompromitování e-mailového serveru společnosti použili útočníci lateral movement k šíření v síti a exfiltraci velkého množství dat, včetně soukromých e-mailů, finančních informací a nezveřejněných filmů. Tento incident ukázal, jak útočníci využívají boční pohyb k dosažení širokého rozsahu vnitřní sítě.Útok na Equifax (2017)
Útok na Equifax v roce 2017 byl jedním z největších kybernetických útoků na osobní údaje. Útočníci využili zranitelnosti v Apache Struts, která umožnila proniknutí do systému. Po získání počátečního přístupu používali lateral movement k šíření napadení do dalších částí infrastruktury a exfiltraci osobních a finančních informací více než 147 milionů lidí.
Jak se bránit proti Lateral Movement?
Segmentace a izolace sítě
Pro minimalizaci možností lateral movementu je klíčové správně segmentovat síť. Oddělením citlivých a kritických systémů od běžných uživatelských strojů můžete snížit rozsah útoků. Segmentace sítě omezuje pohyb útočníka, pokud získá přístup k méně důležité části sítě.Využívání silné autentifikace a kontrola přístupových práv
Silná autentifikace, jako je dvoufaktorová autentifikace (2FA), pomáhá zabránit neautorizovanému přístupu. Zároveň je nezbytné mít správně nakonfigurovaná oprávnění, aby útočník nemohl snadno získat administrativní přístup k citlivým systémům.Monitorování a detekce
Pravidelné monitorování síťového provozu, aktivit a auditních záznamů je nezbytné pro detekci lateral movementu. Detekční nástroje mohou rozpoznat neobvyklý pohyb nebo vzory, které naznačují šíření útočníka v síti.Zabezpečení koncových bodů a pravidelný patching
Zabezpečení koncových bodů, jako jsou servery, pracovní stanice a mobilní zařízení, je nezbytné pro zamezení počátečního kompromitování systému. Ujistěte se, že všechny systémy jsou pravidelně aktualizovány a že zranitelnosti jsou opraveny.Karanténa a izolace zasažených systémů
Pokud je detekován útok, je důležité rychle izolovat zasažené systémy a zastavit šíření útočníka. Tento postup může zahrnovat uzavření síťových připojení, odpojení napadených zařízení od sítě nebo blokování konkrétních IP adres.
Závěr
Lateral movement je nebezpečná technika, kterou útočníci používají k šíření útoků v rámci vnitřní sítě. Úspěšná implementace obrany proti této technice vyžaduje kombinaci správné segmentace sítě, silné autentifikace, monitorování aktivit a zabezpečení koncových bodů. Organizace by měly být vždy připraveny na tento typ útoku, aby minimalizovaly rizika a zajistily ochranu citlivých dat a systémů.